中国自2017年《网络安全法》(简称“《网安法》”)首次提出数据出境监管要求以来,逐步完善相关法律法规体系,2023年《促进和规范数据跨境流动办法》出台,2025年《个人信息出境认证办法》落地,已构建起数据出境安全评估、个人信息保护认证、个人信息出境标准合同的完整三路径监管体系,法律也对违规数据出境行为设定了相应的法律责任。
尽管监管框架日趋完善,但目前公开披露的违反数据出境监管要求的执法案例数量仅有四起。这四起案件均发生在2025年,2025年之前的执法案例则付之阙如。例如,2026年1月,上海网信办发布2025年网络数据安全执法典型案例[1],八起案例中包含两起未落实数据跨境安全管理要求、导致数据违法违规出境的案件,涉及酒店管理、物业管理等重点行业,显示出监管部门对数据出境违规行为的执法方向。
本文将通过梳理我国数据违法违规出境案例,分析违规焦点与监管导向,为企业提供数据出境的合规参考与实践指引,帮助企业规避合规风险、规范数据跨境流动行为。
在当前的法律体系下,涉及数据出境法定义务的法律主要由《网安法》《数据安全法》(简称“《数安法》”)和《个人信息保护法》(简称“《个保法》”)共同组成。同时在行政法规与部门规章层面还包括《网络数据安全管理条例》《数据出境安全评估办法》与《个人信息出境标准合同办法》。
2017年《网安法》出台,首次提出了关键信息基础设施运营者向境外提供个人信息和重要数据。随后2021年的《数安法》将除关键信息基础设施运营者之外的其他数据处理者出境重要数据的情形纳入数据出境安全监管范畴;《个保法》将出境个人信息的情形纳入监管。此外2022年、2023年分别通过《数据出境安全评估办法》与《个人信息出境标准合同办法》将数据出境安全评估、个人信息出境标准合同备案制度化。随着2023年《促进和规范数据跨境流动办法》的推出,最终确定了数据处理者确需向境外提供重要数据和达到一定标准数量个人信息的,应当通过数据出境安全评估、标准合同备案或个人信息保护认证的合规三路径。(“数据出境三路径”)
而对于违反数据出境合规义务的行政处罚方面,《网安法》并未明确行政处罚形式;《数安法》和《个保法》则区分一般情形和情节严重情形,同时均包括单位责任与个人责任。对于违规出境重要数据的,一般情形可以责令改正、警告、罚款,情节严重的还可以停业整顿乃至吊销执照;对于违规出境个人信息的,责令改正、警告、没收违法所得、终止服务,但并不包括罚款;拒不改正以及情节严重的才能对企业及直接负责人罚款。
尽管立法层面已构建了相对完整的制度体系,但在行政执法层面,目前仍处于探索与起步阶段。执法执行层面,针对数据出境的专项执法行动尚未常态化开展,相比于一般性的网络安全或个人信息保护案件,执法机构针对数据出境行为的执法公开报道也较为鲜见;执法信息公开层面,公开的相关执法案例数量偏少,且行政处罚决定书全文通常未予披露,企业较难通过公开渠道检索、参考可借鉴的类案裁判规则;监管执法尺度层面,数据出境相关监管尺度与执法标准尚未形成统一、明确的规范,执法机构对数据出境行为的监管与执法思路仍处于持续探索、动态调整的过程之中。
该案件是数据泄露事件引发的事后监管。某(上海)公司在2025年5月发现系统出现恶意访问事项,可能存在个人信息泄露风险,并向监管部门报备。2025年7月28日,上海市公安局静安分局行政处罚决定,认定该公司“在传输数据过程中,未做好必要的保护措施”,依据《个保法》处以警告并责令改正。[2]
2025年9月,公安机关进一步披露了本案三项违法事实:(1)未通过数据出境安全评估、未订立个人信息出境标准合同或通过个人信息保护认证,违规向法国总部传输用户个人信息;(2)企业在向境外提供信息前,未向用户充分告知境外接收方的处理方式,未取得用户的“单独同意”,以及(3)未对收集的个人信息采取加密、去标识化等安全技术措施。[3]
该案件是已知案例中首次公开将数据出境违规行为明确纳入行政处罚的案例。从执法部门来看,该案件的处罚机关并非负责数据出境三路径审查的网信部门,而是上海市公安局静安分局,这也体现出来目前我国数据安全执法“九龙治水”的执法常态;从违法行为来看,尽管某(上海)公司存在跨国公司之间传输个人信息的行为,但其在隐私政策的设置、向监管机构报备、采取安全保护措施三方面均未达到中国对个人信息出境的合规要求;从行政处罚结果来看,以改正为主,并未处以没收违法所得或罚款,该违法行为可能并未触及《个保法》中的“情节严重”的情形。
2025年9月,贵阳市云岩区互联网信息办公室公布了一起数据异常跨境传输案例。[4]该案中,企业工作人员在接入公网IP的设备在使用中开启了同步“云数据”存储功能,导致数据传输出境。贵阳市云岩区互联网信息办公室认定该企业未严格遵守数据跨境传输的安全管理规定,履行安全评估与合规审查义务不到位,并对涉事企业进行约谈。最终,该企业被处以行政警告并责令整改。
本案的处罚依据是《网安法》、《数安法》,可以推知,本案可能并不涉及个人信息出境,而可能涉及重要数据。一旦通过“云数据”将重要数据存储于位于境外的云存储服务器上,则构成重要数据出境,需要履行数据出境安全评估义务。
该案例是上海网信办发布的2025年网络数据安全执法典型案例之一。该企业从事酒店线上预订时,会将用户的个人信息传输至境外。与前两个案例未履行数据出境三路径合规义务不同,该企业履行了数据出境安全评估的申报程序。但在收到国家网信部门《评估结果通知书》明确指出相关个人信息数据项“出境必要性不足”的情况下,该企业未能采取切实有效措施,仍继续违法违规向境外提供境内自然人个人信息。最终,该企业被责令限期改正并处以罚款。
本案是已公开的四个案例中,唯一被处以罚款的案件。相较于其他案件的未履行数据出境三路径合规义务行为,本案中企业申报后“明知故犯”的行为显然被予以更严厉的处罚。该案体现出对于数据出境项目,网信办既有事前审查,也会进行事后监管,对于企业而言,被明确告知不得出境的数据应当及时本地化存储,否则可能被处以更严重的行政处罚。
该案例是上海网信办发布的另一起2025年网络数据安全执法典型案例。与上一个案例的出境场景相似,本案涉及个人信息出境的是办理酒店预订和会员账户管理的APP。该企业通过其运营的APP在未申报数据出境安全评估、未订立标准合同、未通过认证的情况下,自行向境外提供用户住宿信息及涉及金融账户的敏感个人信息。企业被责令限期改正,并予以警告处罚。
该案例中,公开信息特别指明了本案涉及出境的个人信息包括敏感个人信息,在一定程度上明确了目前数据出境监管的重点。
上述四起案例虽然均未公开行政处罚决定,且公布细节有限,但仍可从中窥探我国执法机构的一定执法思路,并为企业提供一定法律风险规避指引。
首先,从行业分布来看,酒店管理行业以及跨国To-C服务提供商的案件占大多数。 这一趋势的核心原因在于此类行业的经营模式中存在大量的个人用户数据上传与传输,天然伴随着高频次、大体量的个人信息采集与跨境传输过程。因此,建议存在大体量数据出境——特别是包含敏感个人信息出境的企业应更加注意数据出境合规义务的履行,及时根据出境数据情况完成对应的数据出境三路径合规要求。
其次,从法律责任来看,一方面,执法实践多采取“责令改正”为主,对于罚款、停业整顿等责任形式的承担案例公布较少;另一方面,对于“明知故犯”可能受到更严厉的处罚。因此,如监管部门已经明确告知企业存在无必要出境数据的情形,应当尽快完成存储本地化的调整。
再次,从执法趋势来看,一方面,监管不拘泥于事前审批,同时也会对数据出境情况进行事后监管;另一方面,已检索到的四起我国公开的数据出境执法案例均在2025年,或意味着,数据出境监管落实已经提上日程,且事前与事后监管并重,未来可能会有更多的执法案例。
综上所述,2025年以来相关执法案例持续增多,数据合规已从潜在风险转化为企业必须履行的法定义务。对于开展跨境数据传输的企业,应摒弃侥幸心态,严格落实数据出境合规要求,根据适用场景依法完成安全评估、标准合同备案或认证程序;同时需强化数据出境必要性评估,对非必要出境数据构建本地化存储机制,以适配未来日趋精细化、严格化的执法监管环境。
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
1. 邓志松:《个人信息保护法律师与公司常见问答》引言及全文
2. 邓志松等:收到反垄断局对并购交易的未依法申报调查函,企业如何正确应对?
8. 邓志松等:欧盟《外国补贴条例》生效:中国企业涉欧并购的监管影响及法律实务建议
9. 邓志松等:标准合同办法补全第三条路径,完成个人信息出境法律监管拼图
11. 邓志松:格式条款被规制,“最终解释权”受重罚 ——《合同行政监督管理办法》解析
12. 邓志松等:票务平台退票政策趋势观察——“不可退”成为法律禁止的格式条款?
13. 邓志松等:港口整合大潮下的经营者集中反垄断申报——中外比较与实务策略
14. 邓志松等:《外国补贴条例》实施周年的执法趋势观察——中资企业欧洲并购交易合规策略
17. 邓志松等:私募基金行业的经营者集中反垄断审查:趋势变化与合规要求
18. 邓志松等:中国能源企业海外并购:反垄断、反补贴与国家安全的多重监管挑战和实务应对
19. 邓志松等:美国禁止竞业限制引发全球瞩目——人力资源领域反垄断法适用的中外实践
20. 邓志松等:国际视角下的公平竞争营商环境优化新路径:聚焦国有经济、地方保护与补贴制度
21. 邓志松等:国内第一起个人信息跨境传输法院判例评析:欧盟GDPR隐私政策的本地化解构
22. 邓志松等:反垄断民事纠纷抗诉第一案:推动垄断案件可仲裁性司法裁判标准统一
23. 邓志松等:《横向经营者集中审查指引》实务评析:以反垄断审查为引擎驱动并购合规常态化
25. 邓志松等:海外并购“反向分手费”风险管控及实务应对策略:反垄断、FSR与FDI审查
26. 邓志松等:房地产行业并购交易与反垄断监管:经营者集中案件特点和趋势观察
28. 邓志松等:中国“个人信息跨境传输第一案”终审定论:跨国公司应落实本地化数据合规要求
29. 邓志松等:我国“订阅容易取消难”问题的法律规制与实践观察——从美国FTC诉Uber案谈起
30. 邓志松等: “离岸模式”下跨境数据处理行为的法律监管:中美欧实务比较
31. 邓志松等:反垄断法下个人责任体系:行政、民事与刑事多重规制的中外比较
32. 邓志松等:经营者集中审查行政诉讼首案评析:托毕西诉国家市场监管总局案的实务启示与中外比较
33. 邓志松等:《反不正当竞争法》修订破解内卷式竞争:整治滥用优势地位与平台不当行为
38. 邓志松等:未成年人个人信息保护合规审计报送:监管解读与实务应对建议